米エネルギー省(DOE:Department of Energy)のセキュリティ組織である「CIAC(Computer Incident Advisory Capability)」は米国時間7月18日,特定のユーザーや企業/組織をターゲットにした「トロイの木馬」が多数出回っていることを警告した(CIACのサイトへ)。詳しくは後述するが,その手口は極めて巧妙だ。十分に注意しよう。
メールに添付されて送られてくるトロイの木馬を実行すると,重要な情報を盗まれたり,パソコンを乗っ取られたりしてしまう。ウイルス対策ソフトを使っていても検出できない場合が多いという。送信者名や本文が信用できそうなメールであっても,添付ファイルは安易に開くべきではない。
巧妙化の一途をたどる攻撃手法
トロイの木馬とは,ユーザーが意図しない動作をする単独のプログラムのこと。悪質なプログラム(マルウエア:malware)の一種であり,ユーザーに被害を与える場合がほとんど。ウイルスやワームとは異なり,実行しても感染を広げることはない。ただし,現在では悪質なプログラム全般を(広義の)ウイルスと呼ぶこともあるので,厳密にはトロイの木馬に分類されるプログラムであっても,「ウイルスの一種」とされることがある。
トロイの木馬や(狭義の)ウイルスを撒き散らすためにメールを使うことは,以前から攻撃者の常とう手段だった。めずらしいことではない。ただし,メールを送る対象が今までは不特定多数だった。「できるだけ多くのユーザーへ送り付けて,一人でも多くのユーザーに添付ファイルを実行させる」というのが,攻撃者の“戦略”だった。
ところが最近では,特定のユーザーや企業/組織を狙うケースが増えてきているという。CIACでは,DOEおよびDOE以外を狙った,トロイの木馬を添付したメール(以下,「トロイの木馬メール」とする)を多数確認しているという。米US-CERTでは米国時間7月8日付けで,JP Vendor Status Notes(JVN)は7月11日付けで同様の警告を出している。
JVNによると,対象を絞ったトロイの木馬メールでは,「受取人が関連すると思われる業務あるいは,関連する課題を件名とするというソーシャルエンジニアリング攻撃を利用」するという。
CIACでは,以下のような文面のトロイの木馬メールを確認している。
Subject: XXXXXX Meeting
To: xxxDear Colleagues,
In regards to today's XXXXX meeting at 3pm, I have attached a preliminary file for your reading. As you know, Xxxxx will continue to allow the large experiments that currently have dedicated resources to have first priority usage of certain resources that are purchased on their behalf.
The attached PDF will bring you up to date before the meeting to ensure a smooth transition.
Xxx Xxxxxx
CD-Computing Division Office
Lab Extension: 12345
Mail Station 123
このような“もっともらしい”メールに,悪質なPDFファイルが添付されていたという。CIACでは,「このようなメールがあなたのマネージャの名前で送られてきたら,確認することなく添付ファイルを開いてしまうだろう」としている。
次のようなメールも例として挙げている。DOEのNNSA(National Nuclear Security Administration)の職員をターゲットにしたものだ。
Subject: Mandatory Security ReadingAll,
Please review the Security Update attachment. This reading is mandatory for all NNSA employees. Once you have read the document, follow the link at the end of the Security Update to verify you have completed this required reading. Remember this is mandatory and must be completed ASAP.
security@nnsa.doe.gov
123-456-1234
一般的なウイルス添付メールは,不特定多数を対象にしているために,受取人に関する情報は記載されていない。このため,一見すれば怪しいことが分かる。よほどガードが甘いユーザーでなければ警戒するだろう。しかし,現在流行しているトロイの木馬メールは,受取人に関する情報――例えば,企業名/組織名や所属部署――が含まれているため,正当なメールに見える。つまり,特定の対象だけが該当するような内容をメールに含めることで,受取人を信用させやすくするのだ。
特定の情報を盗み出す
対象を絞る理由は,受取人を信用させるためだけではない。特定のユーザー/組織の情報を盗みたいため,あるいは,被害を与えたいためということもある。
